Cum să preveniți încălcarea datelor cu securitatea datelor

Securitatea datelor este o problemă majoră de îngrijorare în sectorul serviciilor financiare, deoarece este asociată cu costuri imense potențiale financiare și de reputație. Criminalitatea informatică care vizează firmele financiare este în creștere.

În consecință, atenția acordată aspectelor legate de securitatea datelor ar trebui să implice nu numai membrii personalului din domeniul tehnologiei informației, ci și personalul de gestionare a riscurilor și de conformitate, precum și membrii organizațiilor de controlor și directorii financiari. În plus, profesioniștii în managementul financiar din alte industrii trebuie să fie în principiu familiarizați cu subiectele din domeniul securității datelor, având în vedere expunerile financiare.

Frecvența și costurile crescânde ale încălcărilor majore privind securitatea datelor, care afectează băncile, firmele de investiții, procesatorii de plăți electronice, rețelele de carduri de credit, comercianții cu amănuntul și alții, fac ca acesta să devină o zonă a cărei importanță este aproape imposibil de subestimat în aceste zile.

Probleme de securitate a datelor:

Securitatea datelor pentru companiile care acceptă plata prin intermediul cardurilor de credit și cardurilor de debit implică acordarea unei atenții deosebite în ceea ce privește alegerea procesatorilor de plăți electronice. Există sute de companii în această linie de activitate, însă numai un subset este evaluat de PCI Compliant de către Consiliul Standard de Securitate al Industriei Cardului de Plăți. Principalii emitenți de carduri de credit (Visa, MasterCard etc.) încearcă de obicei să direcționeze companiile spre utilizarea numai a procesoarelor de plăți compatibile cu PCI.

Securitatea datelor cu privire la cardul de credit de la punctul de vânzare și la procesarea cardurilor de debit, cum ar fi casele de marcat, pompele de gaze și ATM-urile, este din ce în ce mai compromisă și complicată de scheme de furat numere de carduri și coduri PIN. Multe dintre aceste scheme utilizează plasarea secretă a chips-urilor RFID (chips-uri de identificare a frecvențelor radio) de către hoții de date de la aceste terminale pentru a "elimina" astfel de date. Compania de securitate ADT este un furnizor care oferă software Anti-Skim, care declanșează alertele atunci când sunt detectate încălcări de date de acest tip.

În plus, un evaluator de securitate calificat (QSA) poate fi angajat pentru a efectua o analiză a susceptibilității unei companii la astfel de încălcări ale securității datelor.

Securitatea datelor depinde adesea de securitatea fizică la centrele de date. Aceasta implică asigurarea păstrării personalului neautorizat. În plus, personalului autorizat nu i se poate permite să elimine servere, laptopuri, unități flash, discuri, casete, tipărite etc. care conțin informații sensibile din locațiile companiei. În mod similar, trebuie să existe controale pentru a preveni vizionarea de către personalul neautorizat a unor informații sensibile care nu sunt necesare în îndeplinirea sarcinilor lor.

În plus față de protocoalele de securitate și procedurile de la sediul firmei dvs., trebuie examinate practicile furnizorilor externi de servicii de procesare și transmisie a datelor. De exemplu, dacă o firmă terță gazdă a site-ului web al companiei dvs., trebuie să vă preocupați de procedurile sale de securitate a datelor. Certificarea SAS-70 este un standard comun pentru procedurile de securitate adecvate în ceea ce privește rețelele interne, cerute de Legea Sarbanes-Oxley pentru firmele publice de tehnologie a informației. Utilizarea protocoalelor SSL este standardul pentru manipularea sigură a datelor sensibile online, cum ar fi introducerea numerelor cărților de credit în plățile pentru tranzacții.

Cele mai bune practici privind securitatea rețelelor:

Aspectele cheie ale securității rețelelor care au un impact asupra securității datelor sunt protecția împotriva hackerilor și inundarea site-urilor web sau a rețelelor. Atât grupul propriu de tehnologie informatică, cât și furnizorul de servicii Internet (ISP) trebuie să dispună de contramăsuri adecvate. Aceasta este, de asemenea, o problemă de îngrijorare în ceea ce privește găzduirea web și companiile de procesare a plăților. Toți acești vânzători externi trebuie să demonstreze ce protecții au.

Din nou, cele mai bune practici care caracterizează propriile rețele de date ale companiei, centrele de date și gestionarea datelor sunt aceleași pe care trebuie să le confirmați la toate furnizorii externi de procesare a datelor, procesarea plăților, servicii de rețea și servicii de găzduire a site-urilor web. Înainte de a încheia un contract cu un furnizor terț, trebuie să vă asigurați că acesta dispune de certificările minime corespunzătoare de la organisme externe independente (așa cum sa subliniat mai sus) și să efectuați propria diligență, condusă fie de către personalul companiei dvs. de tehnologie a informației cu acreditările corespunzătoare sau de către consultanți externi calificați.

Ca o ultimă considerație, este posibil să cumpărați asigurare contra costurilor asociate cu încălcarea securității datelor. Aceste costuri includ amenzile și penalitățile percepute de rețelele de carduri de credit (precum Visa și MasterCard) pentru astfel de defecțiuni, precum și cheltuielile pe care le impun emitenților de carduri (în principal bănci, uniuni de credit și societăți de valori mobiliare) pentru anularea cardurilor de credit și de debit, emiterea de noi și de a face membrii cardului întregi din cauza încălcărilor cauzate de compania dvs., cheltuieli pe care le vor încerca astfel să le perceapă înapoi companiei.

O astfel de asigurare poate fi uneori oferită de firmele de procesare a plăților, precum și disponibilă direct de la companiile de asigurări. Imprimarea fină asupra unor astfel de politici poate fi detaliată, prin urmare, cumpărarea unei astfel de asigurări necesită o mare atenție.

_{Sursa principală: "Suprimarea încălcărilor datelor" Forbes, 7/18/2011.}